24/11/22
Компания WithSecure заявила, что базирующаяся во Вьетнаме группировка Ducktail проводит фишинговые кампании в WhatsApp и LinkedIn, чтобы захватить учетные записи Facebook* Business пользователей платформы Facebook* Ads & Business.
Согласно отчету WithSecure, операторы Ducktail скрывают инфостилер в архивных файлах вместе с изображениями, документами и видеофайлами. Названия файлов связаны с популярными брендами и продуктами для управления проектов, пишет Securitylab.
Эксперты заявили, что Ducktail теперь скрывает вредоносное ПО, отображая поддельные документы и видеофайлы при запуске. Кроме того, для избегания обнаружения группа постоянно изменяет формат файла, а также компилирует и подписывает сертификаты.
Вредонос от Ducktail работает так:
- Оказавшись в системе жертвы, вредонос ищет cookie-файлы и токены Facebook* в браузерах Google Chrome, Microsoft Edge, Brave Browser и Firefox;
- Если cookie-файлы были обнаружены, инфостилер напрямую взаимодействует с различными конечными точками Facebook* с компьютера жертвы, используя cookie-файл сеанса Facebook* (и учетные данные, полученные с помощью cookie), чтобы украсть информацию из аккаунта жертвы;
- Если аккаунт жертвы был успешно взломан, вредонос похищает ее личные и платежные данные. Кроме того, Ducktail пытается добавить адрес электронной почты злоумышленника в списки электронных адресов организаций, в которых работает жертва.
В конце атаки все украденные данные отправляются хакерам через Telegram. Получив нужную информацию, злоумышленники пытаются купить рекламу, размещенную другими компаниями.
WithSecure утверждает, что хакеры расширяют зону влияния, создавая поддельные организации во Вьетнаме и привлекая сторонних киберпреступников. По данным экспертов, убытки от атак на платформу Facebook* Ads & Business составляют от $1 тыс. до $600 тыс., предназначенных для рекламы компаний.
